Jeden Morgen und jeden Abend ist in Grand Central die Hölle los. Der zentrale Bahnhof von Manhattan ist Umstiegspunkt für rund 250.000 Pendler. Ein idealer Ort für Viren, um von einem Wirt zum nächsten zu hüpfen und sich von Grand Central mit den Zügen rasch ins Umland auszubreiten. Für biologische Viren vielleicht – und in Zukunft vielleicht auch für Computerviren. Ein ähnliches Szenario hat jedenfalls Kapil Singh durchgespielt. Er ist Doktorand an der Georgia Universität in Atlanta. In seiner Simulation geht er davon aus, dass die Handys vieler Pendler mit einem Computerschädling infiziert sind. Von einem Hacker können sie über Bluetooth mit Anweisungen versorgt werden. Diese Anweisungen verbreiten sich dann von einem Handy zum nächsten über Bluetooth weiter.
"Während der Stoßzeiten sind viele Menschen unterwegs. Wenn man die Anweisungen kurz vorher freisetzt, kann man innerhalb von fünf, sechs Stunden bis zu 60 Prozent der infizierten Geräte erreichen."
Das funktioniert deshalb, weil die meisten Menschen immer zu den gleichen Uhrzeiten unterwegs sind und deshalb oft dieselben infizierten Geräte gemeinsam in einem Zug fahren. Was aber kann der Kriminelle, der die infizierten Handys kontrolliert, der sogenannte Botmaster, damit anfangen?
"Der Botmaster erteilt den Bots Befehle. Das geht von massenhaftem SMS-Versand an ein Handy, um es praktisch lahmzulegen, bis zum Auslesen von Telefonnummern, Adressen und anderen Informationen."
Diese Befehle über Bluetooth zu versenden, ist ein raffinierter Schachzug. So können beispielsweise die Handys innerhalb einer bestimmten Firma oder einer Schule ausspioniert werden, wo sie den ganzen Tag auf engem Raum nah beieinander liegen. Die Bluetooth-Schnittstelle dient aber auch zur Tarnung.
"Bluetooth ist interessant, weil es nur über kurze Distanzen funkt. Es ist wie ein Peer-to-Peer-Netzwerk, in dem ein Gerät mit einem anderen Gerät kommuniziert, ohne etwas dazwischen. Der Mobilfunkanbieter bekommt davon nichts mit. Um etwas mitzubekommen, muss man in der Nähe zweier kommunizierender Bots sein, und zwar zu der Zeit, zu der die Kommunikation stattfindet. Noch dazu handelt es sich um ein dynamisches Ad-hoc-Netzwerk. Es ist nahezu unmöglich, diese Art der Kommunikation zu entdecken."
Noch ist all das aber Theorie in wissenschaftlichen Simulationen. Ebenso wie ein Botnet, ein Netzwerk unbemerkt gekaperter Computer, das auf der Basis von Skype funktioniert. Antonio Nappa von der Universität Mailand hat es auf der Bonner Hackerkonferenz vorgestellt:
"Skype hat den Vorteil, dass es eine Art Black Box darstellt, aber gute Services bietet, etwa Verschlüsselung und es durchdringt Firewalls. Und es ist in fast jedem Netzwerk installiert und es kann aus fast jedem Netzwerk heraus problemlos mit der Außenwelt kommunizieren."
Nappa und eine Kollegin haben ein Skype-Plugin programmiert, das – einmal installiert – Skype zum Einfallstor für Cyberkriminelle machen kann. Über Skype-Chatnachrichten lässt sich der Computer des Opfers fortan mit Befehlen versorgen und so den üblichen Schaden anrichten: Spams versenden, Webserver angreifen und so weiter. Darüber hinaus kann Skype als Telefonprogramm natürlich auch über diesen Weg für Ärger sorgen oder massenhaft SMS versenden. Wegen der proprietären Protokolle, die Skype verwendet, können Netzwerkadministratoren die gefährliche Skype-Kommunikation nicht identifizieren und herausfiltern. Trotzdem haben die Wissenschaftler selbst versucht, ein Programm zu entwickeln, dass die Machenschaften entdecken kann:
"Wir haben Gegenmaßnahmen entwickelt. Das Programm überwacht die Kommunikation zwischen Skype und dem Plugin und soll entscheiden, ob die dort fließenden Daten schädlich sind oder nicht. Aber das funktioniert noch nicht sehr gut, wir haben eine hohe Zahl an Fehlalarmen."
Man müsse so eine weit verbreitete Software wie Skype schützen, sagt Nappa, und könne nicht einfach alle Türen offen stehen lassen. Nächste Woche, ergänzt einer seiner Kollegen, wollen sie mit den Betreibern von Skype reden. Bevor jemand mit bösen Absichten ein ähnliches Plugin entwickelt wie die Italiener.
"Während der Stoßzeiten sind viele Menschen unterwegs. Wenn man die Anweisungen kurz vorher freisetzt, kann man innerhalb von fünf, sechs Stunden bis zu 60 Prozent der infizierten Geräte erreichen."
Das funktioniert deshalb, weil die meisten Menschen immer zu den gleichen Uhrzeiten unterwegs sind und deshalb oft dieselben infizierten Geräte gemeinsam in einem Zug fahren. Was aber kann der Kriminelle, der die infizierten Handys kontrolliert, der sogenannte Botmaster, damit anfangen?
"Der Botmaster erteilt den Bots Befehle. Das geht von massenhaftem SMS-Versand an ein Handy, um es praktisch lahmzulegen, bis zum Auslesen von Telefonnummern, Adressen und anderen Informationen."
Diese Befehle über Bluetooth zu versenden, ist ein raffinierter Schachzug. So können beispielsweise die Handys innerhalb einer bestimmten Firma oder einer Schule ausspioniert werden, wo sie den ganzen Tag auf engem Raum nah beieinander liegen. Die Bluetooth-Schnittstelle dient aber auch zur Tarnung.
"Bluetooth ist interessant, weil es nur über kurze Distanzen funkt. Es ist wie ein Peer-to-Peer-Netzwerk, in dem ein Gerät mit einem anderen Gerät kommuniziert, ohne etwas dazwischen. Der Mobilfunkanbieter bekommt davon nichts mit. Um etwas mitzubekommen, muss man in der Nähe zweier kommunizierender Bots sein, und zwar zu der Zeit, zu der die Kommunikation stattfindet. Noch dazu handelt es sich um ein dynamisches Ad-hoc-Netzwerk. Es ist nahezu unmöglich, diese Art der Kommunikation zu entdecken."
Noch ist all das aber Theorie in wissenschaftlichen Simulationen. Ebenso wie ein Botnet, ein Netzwerk unbemerkt gekaperter Computer, das auf der Basis von Skype funktioniert. Antonio Nappa von der Universität Mailand hat es auf der Bonner Hackerkonferenz vorgestellt:
"Skype hat den Vorteil, dass es eine Art Black Box darstellt, aber gute Services bietet, etwa Verschlüsselung und es durchdringt Firewalls. Und es ist in fast jedem Netzwerk installiert und es kann aus fast jedem Netzwerk heraus problemlos mit der Außenwelt kommunizieren."
Nappa und eine Kollegin haben ein Skype-Plugin programmiert, das – einmal installiert – Skype zum Einfallstor für Cyberkriminelle machen kann. Über Skype-Chatnachrichten lässt sich der Computer des Opfers fortan mit Befehlen versorgen und so den üblichen Schaden anrichten: Spams versenden, Webserver angreifen und so weiter. Darüber hinaus kann Skype als Telefonprogramm natürlich auch über diesen Weg für Ärger sorgen oder massenhaft SMS versenden. Wegen der proprietären Protokolle, die Skype verwendet, können Netzwerkadministratoren die gefährliche Skype-Kommunikation nicht identifizieren und herausfiltern. Trotzdem haben die Wissenschaftler selbst versucht, ein Programm zu entwickeln, dass die Machenschaften entdecken kann:
"Wir haben Gegenmaßnahmen entwickelt. Das Programm überwacht die Kommunikation zwischen Skype und dem Plugin und soll entscheiden, ob die dort fließenden Daten schädlich sind oder nicht. Aber das funktioniert noch nicht sehr gut, wir haben eine hohe Zahl an Fehlalarmen."
Man müsse so eine weit verbreitete Software wie Skype schützen, sagt Nappa, und könne nicht einfach alle Türen offen stehen lassen. Nächste Woche, ergänzt einer seiner Kollegen, wollen sie mit den Betreibern von Skype reden. Bevor jemand mit bösen Absichten ein ähnliches Plugin entwickelt wie die Italiener.